软件安全开发服务资质认证自表最新版本

文件编码：CCRC-ISV-C01:2018信息安全服务规范2018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心发布目录1. 适用范围 (1)2. 规范性引用文件 (1)3. 术语与定义 (1)3.1. 信息安全服务 (1)3.2. 信息安全风险评估 (1)3.3. 信息安全应急处理 (1)3.4. 信息系统安全集成 (1)3.5. 信息系统灾难备份与恢复 (1)3.6. 软件安全开发 (2)3.7. 信息系统安全运维 (2)3.8. 网络安全审计 .................................................................................. 错误!未定义书签。

3.9. 工业控制系统安全 (2)4. 通用评价要求 (2)4.1. 三级评价要求 (2)4.1.1. 法律地位要求 (2)4.1.2. 财务资信要求 (2)4.1.3. 办公场所要求 (2)4.1.4. 人员能力要求 (3)4.1.5. 业绩要求 (3)4.1.6. 服务管理要求 (3)4.1.7. 服务技术要求 (3)4.2. 二级评价要求 (3)4.2.1. 法律地位要求 (4)4.2.2. 财务资信要求 (4)4.2.3. 办公场所要求 (4)4.2.4. 人员能力要求 (4)4.2.5. 业绩要求 (4)4.2.6. 服务管理要求 (4)4.2.7. 技术工具要求 (5)4.2.8. 服务技术要求 (5)4.3. 一级评价要求 (5)4.3.1. 法律地位要求 (5)4.3.2. 财务资信要求 (5)4.3.3. 办公场所要求 (5)4.3.4. 人员素质与资质要求 (6)4.3.5. 业绩要求 (6)4.3.6. 服务管理要求 (6)4.3.7. 技术工具要求 (7)4.3.8. 服务技术要求 (7)5. 专业评价要求 (7)5.1. 风险评估服务资质专业评价要求 (7)5.2. 安全集成服务资质专业评价要求 (7)5.3. 应急处理服务资质专业评价要求 (7)5.4. 灾难备份与恢复服务资质专业评价要求 (7)5.5. 软件安全开发服务资质专业评价要求 (7)5.6. 安全运维服务资质专业评价要求 (7)5.7. 网络安全审计服务资质专业评价要求 (7)5.8. 工业控制系统安全服务资质专业评价要求 (7)附录A（规范性附录）：信息安全风险评估服务资质专业评价要求 (8)附录B（规范性附录）：信息系统安全集成服务资质专业评价要求 (11)附录C（规范性附录）：信息安全应急处理服务资质专业评价要求 (14)附录D（规范性附录）：信息系统灾难备份与恢复服务资质专业评价要求 (18)附录E（规范性附录）：软件安全开发服务资质专业评价要求 (22)附录F（规范性附录）：安全运维服务资质专业评价要求 (26)附录G（规范性附录）：网络安全审计服务资质专业评价要求 (29)附录H（规范性附录）：工业控制系统安全服务资质专业评价要求 (35)附录I：信息安全服务人员能力要求 (41)附录J: 参考文献 (64)1.适用范围本规范规定了信息安全服务提供者（以下简称服务提供者）在提供服务时应具备的服务安全通用要求和专业服务能力要求。

IT服务企业资质1. 双软认证(即“软件产品认证”和“软件企业认定”)2. 高新技术企业认定3. ISO9000族质量体系4. 集成能力成熟度模型CMMI5. 信息安全管理体系标准ISO/IEC270016.计算机信息系统集成资质7.ISO /IEC20000 IT服务管理体系标准8.信息系统工程监理资质9.人力资源能力成熟度模型People CMM信息安全服务资质认证包括如下：10-1510.应急处理服务资质认证11.风险评估服务资质认证12.信息系统安全集成服务资质认证13.信息系统灾难备份与恢复服务资质认证14.软件安全开发服务资质认证15.安全运维服务资质认证//16.涉及国家秘密的计算机信息系统集成资质17.涉密信息系统集成资质18.AAA级信用企业19.CISCO认证（网络安全：CCNA认证CCSP认证CCIE认证/ 网络设计：CCNA认证CCDA 认证CCDP认证）IT证书：1.全国计算机等级考试2.微软认证考试（包括系统管理方向MCSE，数据库方向MCDBA和开发方向MCAD/MCSD的证书。

3.中国计算机软件专业技术资格和水平考试（高级工程师、工程师、助理工程师和技术员）4.CIT剑桥信息技术考试5.全国信息应用技术证书考试（NIT）pTIA A+7.(ISC)2 CISSPpTIA Project+ / PMP9.ITILpTIA Security+ / CASP11.Six SigmapTIA Linux+ / RHCE13.Oracle Java14.IBM Cognos15.Adobe认证16.HP认证（惠普认证）17.Cisco认证：CCNA（思科认证网络工程师）CCNP（思科认证资深认证工程师）CCIE（思科认证互联网络专家）CCSP（思科认证安全工程师）18.Linux认证LinuxProfessionalInstitute（简称为LPI）SairLinuxGNU、Linux+RedHatCertifiedEngineer19.CIW (认证互联网管理员）。

CCRC-QOT-0428-B/4信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4. 服务技术要求基本资格建立信息安全风险评估服务流程。

制定信息安全风险评估服务规范并按照规范实施。

仅三级要求：至少有一个完成的风险评估项目，该系统的用户数在 1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。

仅二级要求：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在 10,000 以上；具备从管理和技术层面对脆弱性进行识别的能力。

评估服务流程，流程图中应包括每个阶段对应的职责、输入输出等。

已制定的信息安全风险评估服务规范。

一个已完成项目的合同、用户数、验收的证明材料，包括管理或（和）技术层面脆弱性识别的材料。

一个已完成项目的合同、用户数、验收的证明材料，包括管理和技术层面脆弱性识别的材料。

序要点号5.6.7.8.9.10.准备阶段- 11.服务方案制定12.13.条款仅一级要求：能够在全国范围内，针对5个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在 100,000 以上；具备从业务、管理和技术层面对脆弱性进行识别的能力。

仅三级要求：具备跟踪信息安全漏洞的能力仅二级要求：具备跟踪、验证信息安全漏洞的能力。

仅一级要求：具备跟踪、验证、挖掘信息安全漏洞的能力。

编制风险评估方案、风险评估模板，并在项目实施过程中按照模板实施。

应为风险评估实施活动提供总体计划或方案，方案应包含风险评价原则。

仅二级 / 一级要求：应进行充分的系统调研，形成调研报告。

仅二级 / 一级要求：宜根据风险评估目标以及调研结果，确定评估依据和评估方法。

仅二级 /一级要求：应形成较为完整的需提供证明材料5个已完成项目的合同、用户数、验收的证明材料，从业务、管理和技术层面对脆弱性进行识别的材料。

软件安全开发服务资质认证自评估表填写指南 填写要求：1.当条款对应的需提供证明材料为制度或项目文档时，在“证明材料清单栏目”填写文档的完整名称。

例如《XX 公司软件安全开发服务规范》、《XX公司项目变更管理制度》、《XX项目渗透测试方案》、《XX项目需求分析报告》等，并概括地介绍制度或项目文档各章节的内容。

2.当条款对应的需提供证明材料为记录文档时，在“证明材料清单栏目”填写记录的完整名称。

例如《XX项目软件代码安全检查记录》、《XX项目软件单元测试记录》、《XX项目系统试运行记录》等，并概括地介绍记录文档的主要内容。

3.当条款对应的需提供证明材料为某制度或文档的某章节内容时，在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。

例如《XX项目需求分析报告》第X章安全性需求分析、《XX项目概要设计说明书》第X章安全设计等，并对相关内容进行总结概括。

4.所有出现在“证明材料清单”栏目中的文档，都需提供相应的电子版文档或纸质文档的扫描件作为证明材料，并按照条款的序号建立文件夹整理归档，建立文件夹的格式为“序号-条款的考核内容”，例如“1-软件开发服务流程”、“5-配置管理计划”、“20-安全需求分析报告”、“52-试运行报告”等。

以下给出了一份填写样例，供申请组织进行参考。

填报组织应按照填写样例的细粒度，进行相关信息的填报。

当申请三级服务资质时，仅填写自评估表中与三级相关的条款（具体分两种情况：1、标明适用于三级的；2、未标明属于哪个级别的）；申请二级服务资质时，除填写标明适用于二级的条款之外，还应填写所有属于三级要求的条款；申请一级服务资质时，填写全部条款。

组织名称 XX公司（全称）申报级别X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立软件安全开发服务流程。

软件安全开发服务流程，流程图中应包括每个阶段对应的职责、输入输出等。

2024版专业软件更新及技术服务协议本合同目录一览1. 协议范围1.1 更新服务1.1.1 软件更新1.1.2 版本升级1.2 技术支持1.2.1 技术咨询1.2.2 故障排查1.2.3 解决方案提供1.3 培训服务1.3.1 线上培训1.3.2 线下培训1.3.3 培训资料提供2. 双方义务2.1 甲方义务2.1.1 支付费用2.1.2 提供反馈2.1.3 遵守协议规定2.2 乙方义务2.2.1 按时提供更新服务2.2.2 及时响应技术支持2.2.3 保护甲方数据安全3. 费用与支付3.1 费用明细3.1.1 更新服务费3.1.2 技术支持费3.1.3 培训服务费3.2 支付方式3.2.1 银行转账3.2.2 支付3.2.3 支付4. 服务期限4.1 更新服务期限4.2 技术支持服务期限4.3 培训服务期限5. 违约责任5.1 甲方违约5.2 乙方违约6. 争议解决6.1 协商解决6.2 调解解决6.3 法律诉讼7. 协议变更8. 协议终止8.1 提前终止8.2 到期终止8.3 终止后事项9. 保密条款10. 法律适用11. 争议管辖12. 双方签字13. 附件13.1 软件更新计划13.2 技术支持服务细则13.3 培训课程安排14. 其他约定第一部分：合同如下：第一条协议范围1.1 更新服务1.1.1 软件更新乙方应按照甲方提供的软件序列号及授权信息，为甲方提供最新版本的软件更新。

更新内容包括但不限于：修复已知漏洞、优化性能、增加新功能等。

1.1.2 版本升级乙方应根据甲方的需求，为甲方提供软件版本的升级服务。

版本升级应确保甲方数据的安全性和完整性。

1.2 技术支持1.2.1 技术咨询乙方应为甲方提供软件使用方面的技术咨询，包括但不限于功能操作、故障排查等。

1.2.2 故障排查乙方应在接到甲方报修后，按照约定的响应时间及时进行故障排查，并提供解决方案。

1.2.3 解决方案提供乙方应根据甲方的实际需求，提供针对性的解决方案，确保甲方软件的正常运行。

软件能力成熟度模型集成（CMMI）资质使用说明(1)软件能力成熟度模型集成（CMMI）（ITSS）介绍CMMI（Capability Maturity Model Integration For Software，软件能力成熟度模型集成）是在CMM（Capability Maturity Model For Software，软件能力成熟度模型）的基础上发展而来的。

CMMI是由美国卡耐基梅隆大学软件工程研究所（Software Engineering Institute，SEI）组织全世界的软件过程改进和软件开发管理方面的专家历时四年而开发出来的，并在全世界推广实施的一种软件能力成熟度评估标准，主要用于指导软件开发过程的改进和进行软件开发能力的评估。

CMM模型自20世纪80年代末推出，并于20世纪90年代广泛应用于软件过程的改进以来，极大地促进了软件生产率的提高和软件质量的提高，为软件产业的发展和壮大做出了巨大的贡献。

CMMI共有5个级别，代表软件团队能力成熟度的5个等级，数字越大，成熟度越高，高成熟度等级表示有比较强的软件综合开发能力。

CMMI一级，执行级。

在执行级水平上，软件组织对项目的目标与要做的努力很清晰，项目的目标可以实现。

但是由于任务的完成带有很大的偶然性，软件组织无法保证在实施同类项目时仍然能够完成任务。

项目实施能否成功主要取决于实施人员。

CMMI二级，管理级。

在管理级水平上，所有第一级的要求都已经达到，另外，软件组织在项目实施上能够遵守既定的计划与流程，有资源准备，权责到人，对项目相关的实施人员进行了相应的培训，对整个流程进行监测与控制，并联合上级单位对项目与流程进行审查。

二级水平的软件组织对项目有一系列管理程序，避免了软件组织完成任务的随机性，保证了软件组织实施项目的成功率。

CMMl三级，明确级。

在明确级水平上，所有第二级的要求都已经达到，另外，软件组织能够根据自身的特殊情况及自己的标准流程，将这套管理体系与流程予以制度化。